KI-Verordnung: Hochrisiko-Vorgaben ab August 2026 verschärfen sich
28.06.2026 - 00:05:02 | boerse-global.de
Juni zum neuen BfDI. Er tritt sein Amt in einer Phase an, in der Unternehmen mit erheblichen Rückständen bei der Umsetzung europäischer Sicherheitsrichtlinien und neuen Vorgaben durch die KI-Verordnung kämpfen.
Hennemann folgt auf Prof. Dr. Louisa Specht-Riemenschneider, die sich aus gesundheitlichen Gründen zurückzieht. Sie führt die Geschäfte noch bis zum 30. September 2026 weiter. Der designierte Nachfolger lehrte zuvor Europäisches und Internationales Informations- und Datenrecht in Freiburg und ist Richter am Oberlandesgericht Karlsruhe.
Wirtschaft fordert innovationsfreundliche Auslegung
Der Branchenverband Bitkom drängt auf eine Datenschutzpraxis, die technologische Innovationen stärker fördert. Rund 63 Prozent der Unternehmen bewerten den Datenschutz derzeit als Hindernis für die Entwicklung künstlicher Intelligenz in der EU.
Diese Skepsis trifft auf eine Verschärfung der regulatorischen Rahmenbedingungen. Seit dem 2. August 2025 müssen Anbieter von KI-Modellen mit allgemeinem Verwendungszweck (GPAI) ihre Trainingsdaten und Quellen offenlegen. Ab dem 2. August 2026 kommen striktere Vorgaben für Hochrisiko-KI-Systeme hinzu – mit empfindlichen Geldbußen bei Missachtung.
Compliance-Rückstände bei NIS2 und IT-Sicherheit
Während neue Regeln hinzukommen, kämpfen viele Betriebe noch mit bestehenden Fristen. Rund 62 Prozent der deutschen Unternehmen verpassten die im März 2024 ausgelaufene NIS2-Compliance-Frist. Experten raten IT-Sicherheitsverantwortlichen dringend zu Gap-Analysen, um Bußgelder und Haftungsrisiken zu minimieren.
Ab August 2026 gelten striktere Vorgaben für Hochrisiko-KI – mit empfindlichen Bußgeldern. 62% der Unternehmen verpassten bereits die NIS2-Frist. Mit unserer Gap-Analyse-Checkliste schließen Sie Lücken und sichern Ihre Compliance. Kostenlose Checkliste anfordern
Auch im Gesundheitssektor verschärfen sich die Anforderungen kurzfristig. Für Zahnarztpraxen endet am 30. Juni 2026 die Übergangsfrist für elektronische Heilberufsausweise (eHBA) mit RSA-Zertifikaten. Ab dem 1. Juli 2026 sind ausschließlich ECC-Zertifikate zulässig. Parallel dazu investieren Dienstleister verstärkt in Sicherheitsnachweise. Die BCC Gruppe erhielt am 24. Juni 2026 die Zertifizierung nach ISO/IEC 27001:2022 für ihre Software- und Cloud-Lösungen im Microsoft-365-Umfeld.
EuGH konkretisiert Auskunftsrechte und Datenverwertung
Der Europäische Gerichtshof (EuGH) sorgt für weitere Klarstellungen. In einer Entscheidung vom 18. Juni 2026 (Az. C-484/24) stellte das Gericht fest: Daten, die unter Verstoß gegen die DSGVO erlangt wurden, unterliegen in Gerichtsverfahren nicht automatisch einem Verwertungsverbot. Die Entscheidung liege weiterhin im Ermessen des nationalen Prozessrechts, sofern der Grundsatz der Datenminimierung gewahrt bleibe.
Bereits am 19. März 2026 hatte der EuGH (Az. C-526/24) Grenzen für Auskunftsanträge nach Artikel 15 DSGVO definiert. Ein Antrag kann als exzessiv eingestuft werden, wenn er in missbräuchlicher Absicht gestellt wird. Für Schadensersatzansprüche betonte das Gericht: Ein tatsächlicher Schaden muss nachgewiesen werden – die bloße Befürchtung eines Datenmissbrauchs reicht nicht aus.
Überlastung der Aufsichtsbehörden
Betrifft Sie das? Hochrisiko-KI-Systeme unterliegen ab August 2026 neuen Auflagen. Unsere Gap-Analyse-Checkliste zeigt Ihnen, wo Sie stehen und was Sie tun müssen. Gap-Analyse-Checkliste per E-Mail sichern
Trotz der rechtlichen Klarstellungen stehen die Aufsichtsbehörden unter Druck. In Baden-Württemberg berichtete Landesdatenschutzbeauftragter Tobias Keber von einem Anstieg der Beschwerdefälle um 90 Prozent auf über 7.600 Vorgänge. Ein Teil dieser Anfragen wird mittlerweile durch KI generiert. Gleichzeitig drohen der Behörde Stellenkürzungen von bis zu 40 Prozent.
Das unterstreicht die Forderung nach effizienteren Verfahren wie dem „Einer-für-alle-Prinzip“ und gemeinsamen Entscheidungsdatenbanken der Länder. Zusätzliche Aufgaben kommen durch die geplante EUDI-Wallet hinzu. Bis Ende 2026 müssen die EU-Mitgliedstaaten die Infrastruktur für diese digitale Identität bereitstellen. Deutschland plant den öffentlichen Start für Anfang 2027. Unternehmen müssen sich auf neue Prozesse bei Identitätsnachweisen einstellen – unter Berücksichtigung der novellierten eIDAS-Verordnung und strengerer IT-Sicherheitsvorgaben.
